Ein Vorhängeschloss, das auf einer Laptoptastatur steht

Zertifizierung und Zulassung

Die Qualität von Sicherheitsprodukten kann anhand von Zertifizierung und Zulassung überprüft werden.

Zertifizierung und Zulassung – zwei Sichtweisen auf geprüfte Sicherheit

Beschäftigt man sich mit der Entwicklung und dem Einsatz von Sicherheitsprodukten, so wird man in diesem Zusammenhang zwangsläufig auf die Begriffe der „Zertifizierung“ und der „Zulassung“ einer solchen Lösung stoßen.

Oft werden die beiden Begriffe synonym verwendet, um einen Qualitätsanspruch in der Anforderung oder in der Umsetzung zu unterstreichen. Im Detail gibt es allerdings einige Unterschiede, die im Folgenden dargestellt werden sollen.

Zertifizierung nach einem Standard

Eine Zertifizierung erfolgt gegenüber den Vorgaben und Anforderungen eines definierten Standards, ist also eine Konformitätsbetrachtung. Prägnante Beispiele sind die „Common Criteria“ oder auch die FIPS-140-2 (ISO/IEC 19790).

Die Sicherheitslösung wird dabei einer formalisierten Evaluierung entsprechend der dem Standard zugrundeliegenden Methodik unterworfen. So wird bei einer Evaluierung nach „Common Criteria“ ausgehend von einer Grundannahme, einer definierten Sicherheitsleistung, deren Umsetzung durch die Sicherheitslösung geprüft. Diese Prüfung beinhaltet nicht nur die Technik selbst, sondern auch die umgebende Design-, Prozess- und Organisationslandschaft, die zur Erstellung der Lösung eingesetzt wird.

Ein derartiges Verfahren wird in der Regel von akkreditierten Prüfstellen begleitet, das Zertifikat von einer Zertifizierungsstelle ausgesprochen. In Deutschland nimmt in Bezug auf die „Common Criteria“ das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Rolle wahr.

Im Falle eines positiven Ausgangs wird mit dem Zertifikat der untersuchten Sicherheitslösung bescheinigt, dass ihre Sicherheitsleistung konform zu den Anforderungen des Standards entwickelt und implementiert worden ist. Eine Zertifizierung (bspw. nach „Common Criteria“) besitzt internationale Gültigkeit. Sie ist gebunden an die untersuchte Produktversion.

Zulassung als Betriebserlaubnis

Eine Zulassung erlaubt den Einsatz der Sicherheitslösung bei der Verarbeitung von Informationen, die ein behördliches Schutzbedürfnis hinsichtlich ihrer Vertraulichkeit haben, vergleichbar mit einer Betriebserlaubnis für Luft-, Bahn- oder Kraftfahrzeuge.

Die Zulassung ist damit eine nationale Angelegenheit, die die Nutzung von Sicherheitsprodukten zur Verarbeitung von „amtlich geheim gehaltenen Informationen (Verschlusssachen, VS)“ eines bestimmten Geheimhaltungsgrades regelt.

Das Zulassungsverfahren selbst hat sich in den letzten Jahrzehnten von einer individuellen Begutachtung ehemals stark hardwarebasierter Lösungen hin zu einem komplexeren und formalen Verfahren entwickelt, dass nun auch stärker die Randbedingungen, unter denen die Lösung entsteht, beleuchtet. Insofern ist es nicht verwunderlich, dass sich in Deutschland die Methodik der Zulassung stark an jene der „Common Criteria“ anlehnt.

Das Verfahren wird in der Regel auch hier von akkreditierten Prüfstellen begleitet, die Zulassung vom BSI als nationaler Sicherheitsbehörde ausgesprochen. Sie ist wiederum an die untersuchte Produktversion gebunden.

Schlussfolgerungen für Nutzende

Sowohl eine erfolgreiche Zertifizierung als auch eine erfolgreiche Zulassung stellen einer Sicherheitslösung ein belastbares Qualitätsurteil bezüglich der integrierten Sicherheitsleistung aus.

Nutzer von Sicherheitslösungen, die in Deutschland Verschlusssachen eines bestimmen Geheimhaltungsgrades verarbeiten, sind gesetzlich verpflichtet, vom BSI zugelassene Produkte einzusetzen. Für sie besteht keine „Wahlmöglichkeit“. Allerdings ist eine erfolgreiche Zertifizierung nach „Common Criteria“ ein Indiz, dass der Hersteller auch ein Zulassungsverfahren bestehen würde.

Für alle anderen Nutzer besteht die Möglichkeit, für die Absicherung vertraulicher Datenverarbeitung sowohl zertifizierte als auch zugelassene Lösungen einzusetzen, um sich auf diese Weise auf eine geprüfte Sicherheitsleistung abzustützen.

Die Erfahrungen der SPIRIT/21 im Einsatz von zertifizierten als auch zugelassenen Lösungen können Ihnen als unserem Kunden Hilfestellung bei derartigen Entscheidungen bieten.

Profilbild Steffen Schmack

Steffen Schmack, Senior Consultant Security

+49 172 6296321
sschmack@spirit21.com

Steffen ist unser Erfahrungsträger zum Thema Sicherheit, der sich sowohl in der Theorie als auch in der Umsetzung, auf Ebene der Produkte als auch bei deren Anwendung auskennt.